M,
№ 14
УДК 347
Овченкова Мария Константиновна Ярославский государственный университет им. П.Г.
Демидова Юридический факультет Россия, Ярославль ovchenkovamarija@yandex.ru Ovchenkova Maria Konstantinovna P. G. Demidov Yaroslavl State University
Faculty of Law Russia, Yaroslavl
АНАЛИЗ МЕЖОТРАСЛЕВЫХ СВЯЗЕЙ ЗАКОНОДАТЕЛЬСТВА О
Аннотация: в статье рассмотрены основные межотраслевые связи института персональных данных, а также формы и способы межотраслевого правового регулирования, такие как отсылка, рецепция, аналогия и совместное межотраслевое регулирование. Особое внимание уделено вопросу сходства отношений между субъектом персональных данных, оператором и лицом, которому оператор поручил обработку персональных данных субъекта персональных данных, и отношениями между заказчиком, генподрядчиком и субподрядчиком.
Ключевые слова: персональные данные, институт, межотраслевые связи, отсылка, рецепция, совместное межотраслевое регулирование.
ANALYSIS OF INTERSECTORAL RELATIONS OF THE LEGISLATION
Annotation: the article considers the main intersectoral relations of the Institute of personal data, as well as the forms and methods of intersectoral legal regulation, such
ПЕРСОНАЛЬНЫХ ДАННЫХ
ON PERSONAL DATA
as reference, reception, analogy and joint intersectoral regulation. Particular attention is paid to the similarity of the relationship between the subject of personal data, the operator and the person to whom the operator has entrusted the processing of personal data of the subject of personal data, and the relationship between the customer, the general contractor and the subcontractor.
Key words: personal data, institute, inter-industry relations, reference, reception, analogy, joint inter-industry regulation.
Отношения, связанные с обработкой персональных данных, в настоящее время регулируются Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» [1] (далее - ФЗ № 152).
Вопрос об отраслевой принадлежности законодательства о персональных данных не решен, судя по полному молчанию самого ФЗ № 152 по данному вопросу [2, с. 11]. При этом большинство ученых склоняются к тому, что законодательство о персональных данных является институтом информационного права. Данный институт имеет множество межотраслевых связей. Рассмотрим некоторые из них.
В первую очередь, необходимо упомянуть, что институт персональных данных имеет межотраслевые связи с международным публичным правом. Чтобы понять эту связь, необходимо обратиться к истории появления персональных данных.
Впервые понятие «персональные данные» было закреплено в Конвенции о защите физических лиц при автоматизированной обработке персональных данных [3], которая была принята в Страсбурге 1981 г. Для Российской Федерации данный документ вступил в силу с 1 сентября 2013 г.
24 октября 1995 года была принята Директива № 95/46/EC «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных» [4], в которой также дается определение персональным данным.
Впервые в Российской Федерации основные права и свободы человека и гражданина, в том числе права и свободы в области информации, были закреплены в Конституции Российской Федерации [5], принятой 12 декабря 1993 г. А именно, в ней были зафиксированы два основополагающих принципа: право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени, право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, а также право свободно искать, получать, передавать, производить и распространять информацию.
Впервые понятие «персональные данные» как правовая категория российского законодательства было введено Федеральным законом от 20 февраля 1995 г. № 24-ФЗ «Об информации, информатизации и защите информации» [6].
После изучения опыта применения зарубежных законов, посвященных персональным данным, российским законодателем был принят Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных», вступивший в законную силу 26 января 2007 г.
Таким образом, упомянутая Конвенция является обязательным нормативным правовым актом для России, входит в ее правовую систему, непосредственно регулирует отношения по обработке персональных данных в Российской Федерации. Ее положениям должен соответствовать ФЗ № 152, как акту с большей юридической силой.
Положения Директивы № 95/46/ЕС не являются обязательными, так как Россия не приняла на себя обязательства в отношении данного документа. Однако, формулировки многих статей в ФЗ № 152 схожи с соответствующими формулировками Директивы. Например, формулировка статьи 2 ФЗ № 152 представляет собой практически дословный перевод положения ст. 1 (1) Директивы, а также весьма схожа с формулировкой ст. 1 Конвенции 1981 г.
Таким образом, международные нормативные правовые акты в сфере обработки персональных данных крайне важны для законодательства о персональных данных Российской Федерации, поскольку наш Закон во многом строится на их нормах.
Кроме того, законодательство о персональных данных имеет межотраслевые связи с конституционным правом. Как было уже сказано, в Конституции РФ 1993 г. содержатся два основополагающих принципа, на основе которых построено законодательство о персональных данных.
В этой связи встает вопрос о соотношении права на неприкосновенность частной жизни и права на защиту персональных данных. Если говорить кратко, то анализ положений законодательства о персональных данных позволяет сделать вывод, что регулируемые им отношения, с одной стороны, не в полной мере охватывают ситуации, которые подпадают под действие права на неприкосновенность частной жизни, а с другой - явно выходят за его рамки. Тем самым право на защиту персональных данных приобрело во многом самостоятельное значение. С определенной долей условности можно констатировать, что право на неприкосновенность частной жизни, личную и семейную тайну защищает частную информационную сферу гражданина, в то время как право на защиту персональных данных направлено на защиту личной информационной сферы гражданина [7, с. 18-20].
Таким образом, право на защиту персональных данных имеет отчасти конституционное значение, что говорит о межотраслевом взаимодействии института персональных данных с отраслью конституционного права.
Кроме того, в ч. 1 ст. 4 ФЗ № 152 указано, что «законодательство Российской Федерации в области персональных данных основывается на Конституции Российской Федерации ...».
Институт персональных данных взаимодействует с отраслью Информационного права, основополагающим актом которой является
Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» [8] (далее - ФЗ № 149). Ст. 9 ФЗ № 149 относит персональные данные к разновидности информации ограниченного доступа. При том учитывая многообразие существующих правовых режимов информации ограниченного доступа, сведения, являющиеся персональными данными, могут одновременно подпадать под действие иного режима информации ограниченного доступа, например, являться коммерческой, врачебной или банковской тайной. При этом ни ФЗ № 152, ни ФЗ № 149 не дают никаких ориентиров относительно разрешения возможных коллизий между такими правовыми режимами.
Кроме того, ФЗ № 149 активно взаимодействует с таким видом персональных данных как биометрические персональные данные при регламентации применения информационных технологий в целях идентификации физических лиц (идентификация физического лица осуществляется, в том числе без его личного присутствия, путем установления и проверки достоверности сведений о нем с использованием информации о степени соответствия предоставленных биометрических персональных данных физического лица его биометрическим персональным данным, содержащимся в единой биометрической системе).
Наверное, самое большое межотраслевое взаимодействие законодательство о персональных данных имеет с административным правом. Необходимо начать с того, что одним из ключевых элементов системы защиты персональных данных является уполномоченный орган по защите прав субъектов персональных данных. Его создание предусмотрено Конвенцией 1981 г. в общем виде, при этом определение объема полномочий такого органа оставлено на усмотрение национального законодательства государств -участников Конвенции.
В Российской Федерации таким уполномоченным органом является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Роскомнадзор является контрольно-надзорным органом.
Роскомнадзор обеспечивает, организует и осуществляет государственный контроль и надзор за соответствием обработки персональных данных требованиям ФЗ № 152 и принятых в соответствии с ним нормативных правовых актов.
Каждый оператор до начала обработки персональных данных обязан уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных, за исключением нескольких случаев. Форма и содержание такого уведомления урегулированы в ФЗ № 152.
Уведомление направляется операторами для того, чтобы Роскомнадзор внес предоставленные сведения в реестр операторов. Сведения, содержащиеся в таком реестре, являются общедоступными. Кроме того, в случае изменения предоставленных сведений или в случае прекращения обработки персональных данных оператор также должен уведомить об этом Роскомнадзор. При этом Кодекс Российской Федерации об административных правонарушениях [9] (далее - КоАП РФ) содержит норму об ответственности оператора в случае непредставления в Роскомнадзор уведомления об обработке персональных данных либо его несвоевременного представления (т.е. уже после начала обработки персональных данных), а равно представления уведомления, содержащего неполные или недостоверные сведения (ст. 19.7 КоАП РФ).
Порядок и условия внесения сведений в реестр, внесения информации об изменении сведений в ранее представленное уведомление и порядок исключения сведений из реестра устанавливаются Административным регламентом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по предоставлению государственной
услуги «Ведение реестра операторов, осуществляющих обработку персональных данных», утвержденным Приказом Минкомсвязи России от 21 декабря 2011 г. № 346 [10].
Отношения между Роскомнадзором и оператором регулируются административным правом, отношения по ведению реестра регулируются также административным правом.
Кроме уведомления об обработке персональных данных, оператор и Роскомнадзор взаимодействуют и по другим вопросам. Так, Роскомнадзор вправе требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных и др. Эти отношения также регулируются административным правом.
Но и это еще не все. Субъекты персональных данных вправе обжаловать действия или бездействие оператора в Роскомнадзор, а Роскомнадзор, в свою очередь, обязан рассматривать жалобы и обращения граждан или юридических лиц по вопросам, связанным с обработкой персональных данных, а также принимать в пределах своих полномочий решения по результатам рассмотрения указанных жалоб и обращений. Данный порядок обжалования является административным и регулируется административным правом.
ФЗ № 152 регулирует основы отношений, связанных с обработкой персональных данных, однако, он не регламентирует особенности обработки отдельных категорий персональных данных. Такие особенности регулируются отраслевым законодательством. В связи с этим встает вопрос: установлены ли пределы такого отраслевого регулирования? Могут ли, например, иные федеральные законы устанавливать иные принципы обработки персональных данных с учетом отраслевых особенностей?
Данный вопрос не урегулирован ФЗ № 152, однако, он был затронут в Определении Конституционного Суда РФ от 17 июля 2012 г. № 1346-О [11]. Согласно мнению Конституционного Суда РФ, ФЗ № 152 является базовым
законодательным актом, регулирующим отношения, связанные с обработкой персональных данных, он и определяет принципы, условия и правила обработки персональных данных. Иные федеральные законы могут конкретизировать случаи и особенности обработки отдельных категорий персональных данных, но не могут устанавливать иные принципы обработки персональных данных или давать дефиниции ключевых терминов.
Примером такого федерального закона служит Трудовой кодекс Российской Федерации [12], который содержит специальную главу (гл. 14), посвященную особенностям защиты персональных данных работников. Другим примером подобного акта является Федеральный закон от 7 июня 2013 г. № 108-ФЗ «О подготовке и проведении в Российской Федерации чемпионата мира по футболу FIFA 2018 года, Кубка конфедераций FIFA 2017 года, чемпионата Европы по футболу UEFA 2020 года и внесении изменений в отдельные законодательные акты Российской Федерации» [13], который содержит специальную статью (ст. 23.1), посвященную особенностям обработки персональных данных граждан Российской Федерации в процессе подготовки и проведения указанных мероприятий.
Рассмотрим формы и способы межотраслевого правового регулирования применительно к институту персональных данных.
1) Отсылка (использование) гражданско-правовых понятий, терминов, институтов. Что касается однозначных понятий, то их встречается достаточно много: например, такие цивилистические понятия как юридическое лицо, физическое лицо, наследник, недееспособность, выгодоприобретатель, поручитель, страхование, договор и другие.
При этом не имеется многозначных терминов и институтов - значение которых изменено в целях обработки персональных данных.
Кроме цивилистических понятий и институтов, в ФЗ № 152 дается отсылка и к терминам другой отраслевой принадлежности.
Например, к семейному праву: в ФЗ № 152 использованы такие понятия как личные и семейные нужды, законный представитель, и др; к трудовому праву: работник, локальный акт; процессуального права: суд, исковое заявление, ответственность, моральный вред, виновность, возмещение имущественного вреда, убытки, судебный акт и др.
2) Теперь обратимся к такой форме межотраслевого правового регулирования как рецепция. Например, ч. 2 ст. 24 ФЗ № 152 содержит положения о праве субъекта персональных данных на возмещение морального вреда (на лицо заимствование в полном объеме).
Перейдем к рецепциям в форме разработки правовых конструкций на базе гражданско-правовых институтов. Так, согласно ч. 1 ст. 9 ФЗ № 152, «субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе».
При сопоставлении содержания данной нормы с гражданско-правовыми нормами можно заметить, что прослеживается ее сходство с п. 2 ст. 1 Гражданского кодекса Российской Федерации [14] (далее - ГК РФ), согласно которой «граждане (физические лица) и юридические лица приобретают и осуществляют свои гражданские права своей волей и в своем интересе». Физическое лицо вправе распоряжаться своим правом на персональные данные либо посредством предоставления согласия на их обработку, либо путем отзыва данного ранее согласия. Такое лицо совершает «действия, направленные на установление, изменение или прекращение гражданских прав и обязанностей» (ст. 153 ГК РФ), поэтому правовую природу согласия и отзыва согласия на обработку персональных данных следует определять как односторонние сделки. То есть законодатель при разработке ФЗ № 152 заимствовал юридическую конструкцию односторонней сделки применительно к согласию на обработку персональных данных.
Кроме того, поручение оператором выполнения обработки персональных данных субъекта персональных данных другому лицу напоминает отношения между Генеральным подрядчиком и субподрядчиком. ФЗ № 152 никак не конкретизирует форму и характер поручения оператора, которое может представлять собой отдельный договор или совокупность условий в ином договоре. При этом, несмотря на использование законодателем слова "поручение", данное соглашение не может быть квалифицировано в качестве договора поручения, поскольку предметом этого договора является совершение юридических действий (ст. 971 ГК РФ) [7, с. 62].
Конечно, в качестве договора субподряда такое поручение также квалифицировано быть не может, однако, во многом напоминает его. Во-первых, генподрядчик привлекает субподрядчика для выполнения своих обязательств, то есть некоторой работы, так как предметом договора подряда выступает именно выполнение работы. Оператор поручает другому лицу произвести обработку персональных данных, то есть также выполнить некоторую работу.
Во-вторых, оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных (за исключением некоторых случаев), на основании заключаемого с этим лицом договора. В то же время генподрядчик вправе привлечь к исполнению своих обязательств субподрядчиков, если из закона или договора подряда не вытекает обязанность подрядчика выполнить предусмотренную в договоре работу лично, то есть в данном случае как такового согласия заказчика на привлечение субподрядчика не требуется, однако, в договоре подряда может быть указание на выполнение договора подряда лично подрядчиком, что является своеобразным несогласием заказчика на привлечение субподрядчика и соответственно согласием в случае отсутствия данного условия.
В-третьих, между заказчиком и генподрядчиком заключается договор подряда, тогда как между оператором и субъектом персональных данных заключения никакого договора не предусмотрено. Однако, оператор обязан получить от субъекта персональных данных согласие на обработку его персональных данных, которое, в свою очередь, является односторонней сделкой (это мы выяснили ранее).
В-четвертых, в юридическом плане как заказчик с субподрядчиком, так и субъект персональных данных с лицом, которому оператор поручил обработку персональных данных субъекта персональных данных, никак не взаимодействуют. Так, заказчик и субподрядчик не заключают никаких договоров, а лицо, которому оператор поручил обработку персональных данных субъекта персональных данных, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.
В-пятых, никакой взаимной ответственности ни между заказчиком и субподрядчиком, ни между лицом, которому оператор поручил обработку персональных данных субъекта персональных данных, и субъектом персональных данных, нет. По общему правилу, заказчик и субподрядчик не вправе предъявлять друг другу требования, связанные с нарушением договоров, заключенных каждым из них с генеральным подрядчиком. Что касается положений законодательства о персональных данных, ответственность перед субъектом персональных данных за действия лица, которому оператор поручил обработку персональных данных субъекта персональных данных, несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.
Таким образом, отношения между субъектом персональных данных, оператором и лицом, которому оператор поручил обработку персональных данных субъекта персональных данных, очень схожи с отношениями между заказчиком, генподрядчиком и субподрядчиком. При этом нельзя говорить о
том, что поручение оператором обработки персональных данных другому лицу является договором подряда.
3) Информационному законодательству, в отличие от гражданского законодательства, не известно понятие применения закона по аналогии при наличии пробела в регулировании. Кроме того, ФЗ № 152 не предполагает возможности субсидиарного применения положений гражданского или иного законодательства. При этом, по моему мнению, требуется введение данного института при соблюдении соответствующих пределов.
Так, согласно ч. 1 ст. 9 ФЗ № 152, согласие на обработку персональных данных может быть дано субъектом персональных данных в любой форме, которая позволяет подтвердить факт его получения, то есть конкретные формы Законом не названы.
При этом если говорить о согласии на обнародование и использование изображения гражданина, которое относится к разряду персональных данных, то согласно позиции, изложенной в п. 46 Постановления Пленума Верховного Суда Российской Федерации от 23 июня 2015 г. № 25 [15], «согласие на обнародование и использование изображения гражданина представляет собой сделку. Форма согласия определяется общими правилами ГК РФ о форме сделки, которая может быть совершена в письменной или устной форме, а также путем совершения конклюдентных действий, если иное не установлено законом». Представляется, что к нормам о согласии на обработку персональных данных по аналогии с указанным положением также должны быть применены общие правила ГК РФ о форме сделки [16, с. 79].
4) Совместное межотраслевое регулирование отношений, связанных с обработкой персональных данных.
Например, порядок и условия внесения сведений в реестр операторов, внесения информации об изменении сведений в ранее представленное уведомление, порядок исключения сведений из реестра, форма уведомления
устанавливаются ранее упомянутым Административным регламентом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по предоставлению государственной услуги «Ведение реестра операторов, осуществляющих обработку персональных данных», утвержденным Приказом Минкомсвязи России от 21 декабря 2011 г. № 346, то есть данные отношения регулируются совместно ФЗ № 152 и Роскомнадзором.
Таким образом, мы рассмотрели основные межотраслевые связи института персональных данных. В рамках исследования мы пришли к выводу, что институт персональных данных имеет множество межотраслевых связей, поэтому рассмотреть все межотраслевые связи в рамках статьи не представляется возможным. При этом самое большое межотраслевое взаимодействие законодательство о персональных данных имеет с административным правом. Кроме того, нами были рассмотрены формы и способы межотраслевого правового регулирования применительно к институту персональных данных, такие как отсылка, рецепция, аналогия и совместное межотраслевое регулирование. Особенное внимание было уделено вопросу сопоставления отношений между субъектом персональных данных, оператором и лицом, которому оператор поручил обработку персональных данных субъекта персональных данных, и отношениями между заказчиком, генподрядчиком и субподрядчиком. Мы определились, что эти отношения во многом схожи, но что при этом нельзя говорить о том, что поручение оператором обработки персональных данных другому лицу является договором подряда.
Список литературы:
1. Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» // Собрание законодательства Российской Федерации. 2006. № 31(1 ч.). Ст. 3451.
2. Абаев Ф.А. Правовое регулирование отношений по защите персональных данных работника в трудовом праве: дис. ... канд. юрид. наук. М., 2014. 216 с.
3. Конвенция о защите физических лиц при автоматизированной обработке персональных данных (Заключена в г. Страсбурге 28 января 1981 г.) // Справочно-правовая система «КонсультантПлюс».
4. Директива № 95/46/ЕС Европейского парламента и Совета Европейского Союза «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных» (Принята в г. Люксембурге 24 октября 1995 г.) / официальный сайт законодательства Европейского Союза http://eur-lex.europa.eu/ (дата обращения: 15.03.2021).
5. Конституция Российской Федерации (принята 12 декабря 1993 г.) // Российская газета. 1993. 25 декабря (с поправками).
6. Федеральный закон от 20 февраля 1995 г. № 24-ФЗ «Об информации, информатизации и защите информации» // Собрание законодательства Российской Федерации. 1995. № 8. Ст. 609 (утр. силу).
7. Савельев А.И. Научно-практический постатейный комментарий к Федеральному закону «О персональных данных» // М.: Статут, 2017. 317 с.
8. Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» // Собрание законодательства Российской Федерации. 2006. № 31 (1 ч.). Ст. 3448.
9. Кодекс Российской Федерации об административных правонарушениях от 30 декабря 2001 г. № 195-ФЗ // Собрание законодательства Российской Федерации. 2002. № 1 (ч. 1). Ст. 1.
10. Приказ Минкомсвязи России от 21 декабря 2011 № 346 «Об утверждении Административного регламента Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по предоставлению государственной услуги «Ведение реестра операторов,
осуществляющих обработку персональных данных» // Бюллетень нормативных актов федеральных органов исполнительной власти, № 24, 11.06.2012.
11. Определение Конституционного Суда РФ от 17 июля 2012 г. № 1346-О «Об отказе в принятии к рассмотрению жалобы гражданина Янкина Виктора Анатольевича на нарушение его конституционных прав пунктом 2 части 1 статьи 6 Федерального закона «О персональных данных» и статьей 6 Федерального закона «О государственной регистрации юридических лиц и индивидуальных предпринимателей» // СПС «Гарант».
12. Трудовой кодекс Российской Федерации от 30 декабря 2001 г. № 197-ФЗ // Собрание законодательства Российской Федерации. 2002. № 1 (ч. 1). Ст. 3.
13. Федеральный закон от 7 июня 2013 г. № 108-ФЗ «О подготовке и проведении в Российской Федерации чемпионата мира по футболу FIFA 2018 года, Кубка конфедераций FIFA 2017 года, чемпионата Европы по футболу UEFA 2020 года и внесении изменений в отдельные законодательные акты Российской Федерации» // Собрание законодательства Российской Федерации. 2013. № 23. Ст. 2866.
14. Гражданский кодекс Российской Федерации от 30 ноября 1994 г. № 51-ФЗ. Часть 1 // Собрание законодательства Российской Федерации. 1994. № 32. Ст. 3301.
15. Постановление Пленума Верховного Суда РФ от 23.06.2015 № 25 «О применении судами некоторых положений раздела I части первой Гражданского кодекса Российской Федерации» // Российская газета. 2015. 30 июня.
16. Гаврилова Я.С. Актуальные вопросы гражданско-правового регулирования института персональных данных // Молодой ученый. 2019. № 51 (289). С. 78-80.